Нацеленный на VMware ESXi шифровальщик Cicada3301 за лето собрал 19 жертв

Нацеленный на VMware ESXi шифровальщик Cicada3301 за лето собрал 19 жертв

Нацеленный на VMware ESXi шифровальщик Cicada3301 за лето собрал 19 жертв

Написанный на Rust вредонос Cicada3301 вооружен шифраторами для Windows и Linux/VMware ESXi. Он предоставляется в пользование как услуга (Ransomware-as-a-Service, RaaS) и за три месяца поразил 19 организаций (атаки в СНГ по условиям подписки запрещены).

Первые случаи применения Cicada3301 были зафиксированы в начале июня. В конце того же месяца на хакерском форуме Ramp появилось объявление о запуске партнерской программы на основе данного шифровальщика.

 

Проведенный в Truesec анализ Linux-версии зловреда выявил большое сходство с ALPHV/BlackCat (минувшей весной операторы этого RaaS скрылись, украв $22 млн у одного из аффилиатов; такие случаи в мире киберкриминала известны как exit scam).

Оба шифровальщика написаны на Rust, умеют выключать ВМ и удалять снепшоты, работают по алгоритму ChaCha20, одинаково именуют записки с требованием выкупа и используют прерывистое шифрование на тяжелых файлах.

 

Ключи шифрования Cicada3301 генерирует случайным образом (с помощью функции OsRng) и защищает их по RSA. Обработке подвергаются все найденные документы и мультимедийные файлы; если размер превышает 100 Мбайт, применяется прерывистое шифрование. К имени зашифрованных файлов добавляется расширение из семи произвольных знаков.

Аффилиатам предоставляется возможность отсрочки запуска шифратора (для большей скрытности) и шифрования ВМ без отключения / стирания текущего состояния (деструктивные функции зловреда по умолчанию включены).

Свои победы они могут фиксировать на специальном сайте утечек; эксперты также не исключают, что у нового RaaS имеется свой брокер доступа к сетям, вооруженный инструментом брутфорса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России уточнили порядок доступа к гостайне

Правительство уточнило порядок допуска к государственной тайне. Теперь сотрудников, утративших право на доступ к гостайне, будут отстранять от работы с соответствующими сведениями в день получения заключения о недопуске.

С новой редакцией документа ознакомился ТАСС. Ранее сроки отстранения граждан, которых решили лишить допуска, не были чётко определены. Теперь предлагается делать это в тот же день, когда получено соответствующее заключение.

Кроме того, уточнён порядок действий в случае появления оснований для недопуска сотрудника к государственной тайне.

К таким основаниям относятся: недееспособность, наличие медицинских противопоказаний, гражданство другого государства или постоянное проживание за границей самого сотрудника либо его ближайших родственников, включение в реестр иностранных агентов, действия, создающие угрозу безопасности РФ, уклонение от проверок, заведомо ложные сведения в анкете, а также нарушение законодательства о гостайне.

В этих случаях прекращение или переоформление допуска будет происходить незамедлительно. Ранее эта процедура занимала больше времени и была более сложной.

Также конкретизирован порядок принятия решений в отношении заместителей министров и руководителей ведомств, в отношении которых возникли основания для недопуска к гостайне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru